Цей “опис вакансії” у Google Forms може інфікувати ваш пристрій

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

Цей “опис вакансії” у Google Forms може інфікувати ваш пристрій

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Зловмисники використовують Google Forms для розповсюдження шкідливих ZIP-архівів, які врешті встановлюють PureHVNC RAT. Архів включає оманливий PDF поряд зі шкідливим виконуваним файлом і парою DLL, які виконуються через DLL hijacking. Після запуску шкідливе ПЗ проводить розвідку системи, краде дані і встановлює стійкість за допомогою змін в реєстрі і запланованих завдань.

Розслідування

Дослідники задокументували кілька варіантів кампаній та підтвердили зловживання msimg32.dll для DLL hijacking. Вони спостерігали стійкість через ключ Run реєстру Miroupdate, етапове виконання, що скидає фінальний ZIP у ProgramData, та обфускований завантажувач на Python, який запускає shellcode Donut. На фінальному етапі PureHVNC RAT ін’єктується в SearchUI.exe.

Пом’якшення

Користувачам слід уникати завантаження файлів з ненадійних сторінок Google Forms або скорочених посилань. Легітимність спільних форм і URL, особливо тих, що доставляються через LinkedIn, має бути ретельно перевірена. Організації повинні застосовувати фільтрацію URL і захист кінцевих точок для блокування відомих шкідливих файлів, доменів і шляхів доставки.

Реакція

Командам виявлення слід шукати наявність msimg32.dll, ключа Run Miroupdate, запланованих завдань, що містять base64 PowerShell, і поведінки ін’єкції процесу PureHVNC. Шкідливі ZIP-файли слід ізолювати, механізми стійкості видалити, а всі пов’язані інфраструктурні домени заблокувати.

"graph TB %% Class definitions classDef technique fill:#e6f5ff %% Node definitions tech_user_exec["Техніка – T1204.001 Виконання користувачем: Шкідливе посилання Опис: Обманює користувача натиснути на шкідливе посилання, яке призводить до виконання шкідливого коду."] class tech_user_exec technique tech_dll_hijack["Техніка – T1574.001 Перехоплення потоку виконання: DLL Опис: Завантажує шкідливу DLL, перехоплюючи звичайний порядок пошуку DLL або використовуючи методи стороннього завантаження."] class tech_dll_hijack technique tech_user_activity["Техніка – T1497.002 Висновок / Уникнення пісочниці: Перевірка активності користувача Опис: Перевіряє реальну активність користувача (миша, клавіатура, дисплей), щоб визначити, чи працює воно в пісочниці або віртуальному середовищі."] class tech_user_activity technique tech_rc_scripts["Техніка – T1037.004 Скрипти ініціалізації завантаження або входу: RC Scripts Опис: Змінює або створює RC (керування запуском) скрипти на Unix-подібних системах, щоб отримати стійкість під час завантаження або входу."] class tech_rc_scripts technique tech_scheduled_task["Техніка – T1053 Заплановане завдання/робота Опис: Створює заплановані завдання або роботи, які запускають шкідливий код пізніше або на регулярній основі."] class tech_scheduled_task technique tech_powershell["Техніка – T1059.001 Командний та скриптовий інтерпретатор: PowerShell Опис: Використовує PowerShell для виконання команд, скриптів або корисного навантаження на системі жертви."] class tech_powershell technique tech_compress["Техніка – T1027.015 Обфусковані файли або інформація: Стиснення Опис: Стискає або упаковує шкідливі файли для уникнення виявлення і зменшення розміру."] class tech_compress technique tech_dynamic_api["Техніка – T1027.007 Обфусковані файли або інформація: Динамічне вирішення API Опис: Вирішує виклики API під час виконання, щоб сховати справжній намір коду від статичного аналізу."] class tech_dynamic_api technique tech_process_injection["Техніка – T1055 Ін’єкція процесу Опис: Ін’єктує шкідливий код у адресний простір іншого процесу, що виконується."] class tech_process_injection technique tech_process_hollow["Техніка – T1055.012 Ін’єкція процесу: Порожній процес Опис: Створює легітимний процес у призупиненому стані та замінює його пам’ять шкідливим кодом."] class tech_process_hollow technique tech_sysinfo["Техніка – T1082 Визначення інформації про систему Опис: Збирає інформацію про операційну систему, апаратне забезпечення і конфігурацію з жертви."] class tech_sysinfo technique tech_browser_info["Техніка – T1217 Визначення інформації про браузер Опис: Перелічує встановлені браузери, розширення та налаштування, щоб допомогти подальшому крадіжці облікових даних."] class tech_browser_info technique tech_browser_creds["Техніка – T1555.003 Облікові дані з сховищ паролів: Облікові дані з веб-браузерів Опис: Витягає збережені імена користувачів і паролі з веб-браузерів."] class tech_browser_creds technique tech_file_creds["Техніка – T1552.001 Незахищені облікові дані: Облікові дані у файлах Опис: Шукає на файловій системі матеріали облікових даних, збережені у відкритому вигляді або погано захищених файлах."] class tech_file_creds technique tech_private_keys["Техніка – T1552.004 Незахищені облікові дані: Приватні ключі Опис: Знаходить файли приватних ключів, які можуть бути використані для імітації жертви."] class tech_private_keys technique tech_web_cookie["Техніка – T1550.004 Використання альтернативного матеріалу для автентифікації: Веб-сесія Cookie Опис: Використовує зібрані файли cookie веб-сесій для автентифікації до веб-служб без необхідності вводити паролі."] class tech_web_cookie technique %% З’єднання tech_user_exec –>|тригерує| tech_dll_hijack tech_dll_hijack –>|виконує| tech_user_activity tech_dll_hijack –>|використовує| tech_rc_scripts tech_rc_scripts –>|створює| tech_scheduled_task tech_scheduled_task –>|виконує| tech_powershell tech_powershell –>|компресує| tech_compress tech_compress –>|включає| tech_dynamic_api tech_compress –>|вмикає| tech_process_injection tech_process_injection –>|використовує| tech_process_hollow tech_process_hollow –>|збирає| tech_sysinfo tech_process_hollow –>|відкриває| tech_browser_info tech_process_hollow –>|краде| tech_browser_creds tech_process_hollow –>|краде| tech_file_creds tech_process_hollow –>|краде| tech_private_keys tech_process_hollow –>|використовує| tech_web_cookie "

Потік Атаки

Атака: наратив & команди:
Оператор скомпрометував кінцеву точку та розгорнув PureHVNC. Інструмент запускає прихований процес PowerShell, який відправляє три окремих запити WMI для збору системної інформації:
1. ВИБРАТИ Caption З Win32_OperatingSystem – збирає версію ОС.
2. ВИБРАТИ * З AntiVirusProduct – перераховує встановлені антивірусні продукти.
3. ВИБРАТИ * З Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera') – визначає підключені камери та пристрої для зображень.
  Запити виконуються через wmic для зливання з легітимною адміністративною активністю, але точні рядки збігаються з вибором блок.

Скрипт регресійного тесту:

# Моделювання запиту PureHVNC WMI – тригерує правило виявлення
$queries = @(
    "ВИБРАТИ Caption З Win32_OperatingSystem",
    "ВИБРАТИ * З AntiVirusProduct",
    "ВИБРАТИ * З Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')"
)

foreach ($q in $queries) {
    # Використовуйте wmic для виконання запиту; wmic надруковує вихідні дані в stdout
    wmic /namespace:rootcimv2 path __Namespace де "Name='root'" call CreateInstance $q 2>$null
    # Змусьте коротку паузу, щоб гарантувати, що кожна подія буде записана окремо
    Start-Sleep -Milliseconds 500
}

Команди очищення:

# Видаліть будь-які тимчасові файли та припиніть залишкові процеси wmic
Get-Process wmic -ErrorAction SilentlyContinue | Stop-Process -Force
# Постійні артефакти не створюються вищевказаним скриптом.

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно